Google IAP によって保護されている restful-api に対して認証するための「ベスト プラクティス」とは何なのか知りたいです。
私が達成しようとしていることを解明するために、段階的に分解してみましょう。
- 私の開発環境の URL: に移動します
dev.blah.com。ここでは、IAP からログインするように求められます。ログインします。SPA にアクセスできるようになりました。 - SPA を閲覧しています。しかし!API も IAP によって保護されているため、API と通信できません。
ドキュメントでプログラムによる認証を行うことができると読みましたが、私の特定のユースケースがプログラムによる認証に適しているかどうか、または安全であるかどうかさえわかりません。
API にアクセスするには、クライアント側のプログラムによる認証ワークフローを実装する必要があるという点で正しいでしょうか?
または、「この IAP で保護されたリソースにアクセスするために認証されると、これらの他のリソースにもログインできる」と言う別の方法はありますか? http-onlyトークンはトークンであり、Cookie は現在のドメインに制限されているため、単純にコピーすることはできません。
いくつかの追加情報:
- 私のサービスは Google Kubernetes Engine クラスタで実行されており、宣言したイングレス オブジェクトに基づいてロード バランサが自動的に作成されています。
- IAP で保護された各環境は、独自の OAuth 資格情報を取得し、次を使用して IAP を使用するようにロード バランサーを構成します。
gcloud compute backend-services update [backend-service] --global --iap=enabled,oauth2-client-id=[the_id],oauth2-client-secret=[the_secret]